Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

MEDIUM CVSS 4.3
PLUGIN CVE-2025-9988

Broadstreet <= 1.53.1 - Missing Authorization to Authenticated (Subscriber+) Advertiser Creation

broadstreet

Publicado: 12/05/2026

Se ha detectado una vulnerabilidad en el plugin Broadstreet hasta la versión 1.53.1, que permite la creación de anunciantes sin la autorización adecuada p…

Ver ficha
MEDIUM CVSS 6.5
PLUGIN sqli CVE-2026-7619

Charitable <= 1.8.10.4 - Authenticated (Custom+) SQL Injection via 's' Search Parameter

charitable

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Charitable, afectando a versiones hasta la 1.8.10.4. Esta falla permite a un atacante …

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-6962

Cost of Goods: Product Cost & Profit Calculator for WooCommerce <= 4.1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

cost-of-goods-for-woocommerce

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Cost of Goods para WooCommerce, afectando a versiones hasta la 4.1.0…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-6828

Fluent Forms <= 6.2.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'permission_message' Shortcode Attribute

fluentform

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Fluent Forms hasta la versión 6.2.1, que permite a usuarios autentic…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN rce CVE-2025-14033

ilGhera Support System for WooCommerce <= 1.3.0 - Missing Authorization to Unauthenticated Sensitive Information Exposure

wc-support-system

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad en el plugin ilGhera Support System para WooCommerce, que permite la exposición de información sensible a usuarios n…

Ver ficha
HIGH CVSS 7.5
PLUGIN sqli CVE-2026-6929

JoomSport <= 5.7.7 - Unauthenticated SQL Injection via 'sortf' Parameter

joomsport-sports-league-results-management

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin JoomSport hasta la versión 5.7.7. Esta falla permite a atacantes no autenticad…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN idor CVE-2026-6965

Tutor LMS <= 3.9.9 - Insecure Direct Object Reference to Authenticated (Instructor+) Arbitrary Post Deletion via 'course' GET Parameter

tutor

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Tutor LMS, que permite a los usuarios autenticados con rol de instructor borrar publicacio…

Ver ficha
MEDIUM CVSS 5.5
PLUGIN xss CVE-2025-14767

WPC Badge Management for WooCommerce <= 3.1.6 - Authenticated (Shop Manager+) Stored Cross-Site Scripting via 'text' Attribute

wpc-badge-management

Publicado: 12/05/2026

La extensión WPC Badge Management para WooCommerce presenta una vulnerabilidad de tipo XSS almacenado en versiones hasta la 3.1.6. Esta falla permite a us…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN CVE-2026-2515

Hostinger Reach <= 1.3.8 - Missing Authorization to Authenticated (Subscriber+) Integration API Key Update

hostinger-reach

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad en el plugin Hostinger Reach, versiones hasta la 1.3.8, que permite la actualización de claves API sin la debida aut…

Ver ficha
MEDIUM CVSS 6.5
PLUGIN CVE-2026-4782

Avada Builder <= 3.15.2 - Authenticated (Subscriber+) Arbitrary File Read via 'custom_svg' Shortcode Parameter

fusion-builder

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad en Avada Builder (versiones <= 3.15.2) que permite la lectura arbitraria de archivos a través del parámetro 'custom_…

Ver ficha
HIGH CVSS 7.5
PLUGIN sqli CVE-2026-4798

Avada Builder <= 3.15.1 - Unauthenticated SQL Injection via 'product_order' Parameter

fusion-builder

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad de inyección SQL en Avada Builder, afectando a versiones hasta 3.15.1. Este fallo permite a un atacante no autentica…

Ver ficha
HIGH CVSS 7.5
PLUGIN sqli CVE-2026-1250

Court Reservation – Manage Your Court Bookings Online <= 1.10.11 - Unauthenticated SQL Injection

court-reservation

Publicado: 12/05/2026

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin Court Reservation, afectando a versiones hasta 1.10.11. Esta falla permite a u…

Ver ficha
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad